Protección de Tableau Server en AWS
Este es contenido archivado
Se siguen admitiendo implementaciones en nubes públicas, pero el contenido para implementaciones de nubes públicas de terceros ya no se actualiza.
Para obtener el contenido de implementación más reciente de Tableau Server, consulte la Guía de implementación empresarial(El enlace se abre en una ventana nueva) y la sección Implementar(El enlace se abre en una ventana nueva) de la ayuda de Tableau Server.
Para aquellos clientes que tengan acceso, recomendamos Tableau Cloud. Para obtener más detalles, consulte:
- Guía de migración manual de Tableau Cloud
- Prueba de Tableau Cloud para administradores(El enlace se abre en una ventana nueva)
- Tableau Cloud: Primeros pasos para administradores(El enlace se abre en una ventana nueva)
Introducción
Ya sea que implemente Tableau Server de forma local o en la nube, es importante adoptar medidas para que la implementación sea segura. Para obtener información sobre cómo hacer que Tableau Server sea más seguro, consulte Seguridad.
Además de las características de seguridad integradas en Tableau Server, AWS ofrece otras características que puede utilizar para asegurar el entorno de Tableau Server, por ejemplo:
Amazon VPC añade otra capa de seguridad de red al entorno ya que crea subredes privadas.
Los grupos de seguridad determinan el tráfico entrante y saliente que puede conectarse a la red. Limite el tráfico entrante a sus direcciones IP en el bloque CIDR (Classless Inter-Domain Routing o Enrutamiento entre dominios sin clases). No utilice 0000\0, que es inseguro porque permite que todo el tráfico tenga acceso a su servidor.
AWS Identity and Access Management (IAM) permite controlar de forma específica el acceso de los usuarios a las funciones de AWS.
AWS Direct Connect permite una conexión de red dedicada desde una red corporativa a AWS mediante el uso de VLAN 802.1Q estándares del sector a través de un socio de AWS Direct Connect. Para obtener más información, consulte Solicitud de conexiones cruzadas en ubicaciones de AWS Direct Connect en la Guía del usuario de AWS Direct Connect en el sitio web de AWS.
Cifrado de Amazon EBS ofrece una forma simple y eficiente de cifrar los datos en reposo dentro de volúmenes de disco y datos en tránsito entre las instancias de EC2 y el almacenamiento de EBS.
Puede implementar la seguridad de aplicaciones empresariales en AWS y Tableau Server para permitir que un informe o dashboard único cubra de forma segura las necesidades de una base de usuarios amplia y diversa, incluidos los usuarios internos y externos. La seguridad de aplicaciones empresariales tiene tres componentes principales:
La seguridad de red de Tableau Server en AWS se basa en el uso de grupos de seguridad de Amazon VPC con SSL para proteger las comunicaciones internas y externas. Para obtener más información, consulte Grupos de seguridad de su VPC en la Guía del usuario de Amazon Virtual Private Cloud en el sitio web de AWS.
Amazon VPC
Una Amazon VPC es una red única y aislada dentro de la nube; el tráfico de red dentro de cada Amazon VPC está aislado de todas las demás Amazon VPC. El uso de una Amazon VPC le permite crear sus propias subredes de red y dividir las capas de aplicación en subredes de red para tener un mayor nivel de control. Recomendamos instalar y ejecutar Tableau Server en una subred independiente dentro de la Amazon VPC para poder configurar la red para el acceso a Tableau Server y otros conjuntos de datos. La figura siguiente muestra una instalación típica de un Tableau Server de nodo único en una Amazon VPC.
Grupos de seguridad
Los grupos de seguridad le permiten definir qué tipos de tráfico de red pueden acceder a Tableau Server. Los grupos de seguridad de Amazon EC2 funcionan como un firewall que controla el tráfico de red que entra y sale de las instancias de Amazon EC2. Puede definir y asignar grupos de seguridad apropiados para sus instancias de Amazon EC2. De forma predeterminada, las instancias de Amazon EC2 se inician con grupos de seguridad que no permiten tráfico entrante. Para poder acceder a su instancia de EC2, tendrá que hacer cambios para permitir el tráfico entrante apropiado.
Los requisitos mínimos para las conexiones a Tableau Server en una instancia de EC2 son los siguientes:
Conexión mediante RDP (puerto 3389) con un cliente de Escritorio remoto para acceder y gestionar la instancia y los servicios.
Tráfico web estándar mediante HTTP (puerto 80) y HTTPS (puerto 443), para visualizar contenido alojado en Tableau Server y publicar en Tableau Server.
Debe permitirse la comunicación entre los componentes de Tableau Server en diferentes instancias (si las hubiera). Consulte los puertos que se enumeran en las categorías Todos y Distribuidos/alta disponibilidad.
En función de estos requisitos, debe habilitar solo tres puertos estándares para el tráfico entrante a su instancia de EC2: HTTP 80, HTTPS 443 y RDP 3389. También debe limitar el acceso remoto (puerto 3389) desde algunos hosts, así como el tráfico HTTP y HTTPS a hosts dentro de su red corporativa o a un conjunto de clientes de confianza.
De forma predeterminada, Tableau Server utiliza solicitudes y respuestas HTTP estándares. Tableau Server se puede configurar para HTTPS (SSL) con certificados de seguridad proporcionados por el cliente. Cuando Tableau Server se configura para SSL, todo el contenido y las comunicaciones entre los clientes están cifrados y utilizan el protocolo HTTPS. Al configurar Tableau Server para SSL, el navegador y la biblioteca SSL en el servidor negocian un nivel de cifrado común. Tableau Server utiliza OpenSSL como la biblioteca SSL en el servidor y está preconfigurado para usar los estándares actualmente aceptados. Cada navegador web que accede a Tableau Server mediante SSL utiliza la implementación de SSL estándar que proporciona dicho navegador. Para obtener más información sobre cómo Tableau Server utiliza SSL, consulte SSL. Tableau Server escuchará el tráfico SSL solo en el puerto 443. No podrá configurar puertos personalizados para SSL/TLS.
Si utiliza el equilibrio elástico de carga (ELB, Elastic Load Balancing), ELB también puede realizar la terminación SSL en su nombre. Permitir que ELB gestione el cifrado/descifrado del tráfico web es una forma sencilla de asegurar la conexión del cliente con Tableau Server sin necesidad de configurar manualmente SSL en Tableau Server en sí. Para obtener más información, consulte Equilibrio elástico de carga de AWS: compatibilidad con terminación SSL en el sitio web de AWS.
AWS Directory Service
Opcional. AWS Directory Service es un servicio administrado que le permite conectar sus recursos de AWS a un directorio local existente, como Microsoft Active Directory (con AD Connector), o configurar un directorio nuevo e independiente en la nube de AWS (con Simple AD). Conectarse a un directorio local es muy sencillo y, una vez establecida la conexión, todos los usuarios pueden acceder a los recursos y las aplicaciones de AWS con sus credenciales corporativas actuales.
Con AWS Directory Service, puede elegir usar la autenticación basada en Active Directory en lugar de la autenticación local, que crea usuarios y asigna contraseñas mediante el sistema de administración de usuarios incorporado de Tableau Server. Para configurar la autenticación basada en Active Directory, en el paso de configuración posterior a la instalación de Tableau Server, debe seleccionar Active Directory. No podrá cambiar entre Active Directory y la autenticación local después.
El modelo de autenticación de Active Directory utiliza la Interfaz del proveedor de compatibilidad para seguridad (SSPI, Security Support Provider Interface) de Microsoft para que los usuarios inicien sesión automáticamente basándose en los nombres de usuarios y contraseñas de Windows. Esto crea una experiencia similar a un inicio de sesión único (SSO).
Tableau Server utiliza controladores nativos (se basa en un adaptador ODBC genérico cuando no hay controladores nativos disponibles) para conectarse a las bases de datos siempre que sea posible, para procesar conjuntos de resultados, actualizar extractos y para todas las demás comunicaciones con la base de datos. Puede configurar el controlador para la comunicación en puertos no estándares o utilizar el cifrado de transporte, pero este tipo de configuración es transparente para Tableau Server. Sin embargo, dado que la comunicación de Tableau Server a la base de datos suele estar detrás de un firewall, puede optar por no cifrar esta comunicación.
Conexión a almacenes de datos en AWS
Puede iniciar recursos de AWS, tales como Amazon Relational Database Service (Amazon RDS), Amazon Elastic MapReduce (Amazon EMR) Hadoop Hive o Amazon Redshift, en una Amazon VPC. Al colocar Tableau Server en la misma Amazon VPC que sus almacenes de datos, puede asegurarse de que el tráfico nunca salga de la Amazon VPC.
Puede utilizar subredes con grupos de seguridad para iniciar los recursos en diferentes capas, pero permitir que se comuniquen de forma segura dentro de una Amazon VPC, como se ilustra en el diagrama siguiente.
Conexión a almacenes de datos fuera de AWS
De forma opcional, puede conectar la Amazon VPC a su propio centro de datos corporativo mediante una conexión VPN en hardware de IPsec y, de esa forma, la nube de AWS se convierte en una extensión de su centro de datos. Una conexión VPN consta de una puerta de enlace privada virtual conectada a la Amazon VPC y una puerta de enlace de cliente ubicada en el centro de datos. Puede elegir utilizar AWS Direct Connect, que es un servicio de red que ofrece una alternativa al uso de Internet para utilizar los servicios de nube de AWS. AWS Direct Connect le permite establecer una conexión de red dedicada mediante el uso de VLAN 802.1Q estándares del sector a través de un socio de AWS Direct Connect. Para obtener más información, consulte Solicitud de conexiones cruzadas en ubicaciones de AWS Direct Connect en la Guía del usuario de AWS Direct Connect en el sitio web de AWS.
Puede utilizar la misma conexión para acceder a recursos públicos (como objetos almacenados en Amazon Simple Storage Service (Amazon S3) con espacio de direcciones IP públicas) y recursos privados (como instancias de Amazon EC2 que se ejecutan en Amazon VPC con un espacio de direcciones IP privadas), a la vez que mantiene la separación de red entre los entornos público y privado.
Cifrado de datos en reposo
El cifrado de Amazon EBS ofrece una forma simple y transparente de cifrar volúmenes que pueden contener información de identificación personal (PII). El cifrado de EBS cifra datos en reposo dentro del volumen y datos en tránsito entre el volumen y la instancia mediante AES-256. Esta función tiene un impacto mínimo o inexistente en el rendimiento de Tableau Server. Por lo tanto, recomendamos aprovechar este servicio independientemente de si sus sistemas almacenan PII.